首頁 > 安全研究 > 安全通報 > 安全通告

【漏洞通告】Microsoft Exchange Server遠程代碼執行漏洞(CVE-2022-41082)

發布時間 2022-10-01


0x00 漏洞概述

CVE   ID

CVE-2022-41082

發現時間

2022-09-30

類    型

RCE

等    級

高危

遠程利用


影響范圍


攻擊復雜度


用戶交互


PoC/EXP


在野利用

 

0x01 漏洞詳情

9月29日,微軟安全響應中心發布安全公告,公開了Microsoft Exchange Server中已被利用的2個0 day漏洞(ProxyNotShell),可在經過Exchange Server身份驗證并且具有 PowerShell 操作權限的情況下利用這些漏洞(組合利用)遠程執行惡意代碼:

CVE-2022-41040:Microsoft Exchange Server服務器端請求偽造 (SSRF) 漏洞

CVE-2022-41082:Microsoft Exchange Server遠程代碼執行(RCE)漏洞

目前這些漏洞已經被利用,并發現在受感染的服務器上部署webshell。

 

影響范圍

Microsoft Exchange Server 2013

Microsoft Exchange Server 2016

Microsoft Exchange Server 2019

 

0x02 安全建議

微軟已經發布了相關漏洞的客戶指南,受影響客戶可參考實施指南中的緩解措施:

1.Microsoft Exchange Online 客戶無需采取任何行動。

2.本地 Microsoft Exchange 客戶應查看并應用以下 URL 重寫(URL Rewrite)說明并阻止暴露的遠程 PowerShell 端口。

緩解措施:在“IIS 管理器 -> 默認網站 -> 自動發現 -> URL 重寫 -> 操作”中添加阻止規則,以阻止已知的攻擊模式。(注:如果按照建議自行安裝URL重寫模塊,對Exchange功能沒有已知的影響。)

步驟:

l  打開 IIS 管理器。

l  展開默認網站。

l  選擇自動發現。

l  在功能視圖中,單擊 URL 重寫。

image.png

l  在右側的“操作”窗格中,單擊“添加規則”。  

image.png

l  選擇請求阻止,然后單擊確定。 

image.png

l  添加字符串“.*autodiscover\.json.*\@.*Powershell.*”(不包括引號),然后單擊“確定”。 

image.png

l  展開規則并選擇模式為“.*autodiscover\.json.*\@.*Powershell.*”的規則,然后單擊條件下的編輯。 

image.png

l  將條件輸入從 {URL} 更改為 {REQUEST_URI} 。

image.png

此外,經過認證的攻擊者如果能在存在漏洞的Exchange系統上訪問PowerShell Remoting,就可以利用CVE-2022-41082觸發RCE。建議管理員阻止以下遠程 PowerShell 端口以阻止攻擊:

2  HTTP:5985

2  HTTPS:5986

如果想檢查 Exchange Server是否已被入侵,管理員可以使用以下方式:

1.運行以下 PowerShell 命令來掃描 IIS 日志文件以尋找入侵跡象:

Get-ChildItem -Recurse -Path-Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200'

2.使用GTSC開發的搜索工具,基于exploit簽名,搜索時間比使用powershell要短。

下載鏈接:https://github.com/ncsgroupvn/NCSE0Scanner

注:1.若已被攻擊,IIS 日志中可能檢測到與 ProxyShell 漏洞格式類似的利用請求:autodiscover/autodiscover.json?@evil.com/&Email=autodiscover/autodiscover.json %3f@evil.com。

2.緩解措施(更新)詳見參考鏈接中的微軟安全指南。


0x03 參考鏈接

https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/

https://gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html

 

0x04 版本信息

版本

日期

修改內容

V1.0

2022-09-30

首次發布

 

 

0x05 附錄

公司簡介

啟明星辰成立于1996年,是由留美博士嚴望佳女士創建的、擁有完全自主知識產權的信息安全高科技企業。是國內最具實力的信息安全產品、安全服務解決方案的領航企業之一。

公司總部位于北京市中關村軟件園啟明星辰大廈,公司員工近4000人,研發團隊1200余人, 技術服務團隊1300余人。在全國各省、市、自治區設立分支機構六十多個,擁有覆蓋全國的銷售體系、渠道體系和技術支持體系。公司于2010年6月23日在深圳中小板掛牌上市。(股票代碼:002439)

多年來,啟明星辰致力于提供具有國際競爭力的自主創新的安全產品和最佳實踐服務,幫助客戶全面提升其IT基礎設施的安全性和生產效能,為打造和提升國際化的民族信息安全產業領軍品牌而不懈努力。

 

關于我們

啟明星辰安全應急響應中心主要針對重要安全漏洞的預警、跟蹤和分享全球最新的威脅情報和安全報告。

關注以下公眾號,獲取全球最新安全資訊:

image.png

上一篇 下一篇